Datenschutzerklärung
Diese Website ist bewusst datensparsam gebaut: kein Tracking, keine Werbung, keine Analyse-Skripte, keine eigenen Cookies und keine externen Schriftarten-Dienste. Personenbezogene Daten verarbeiten wir auf dieser Website nur in zwei Fällen: wenn du dich in die Early-Access-Warteliste einträgst und durch die technisch notwendigen Server-Logs beim Aufruf der Seite. Für die CortexOne-App gelten zusätzlich die Abschnitte 3.5 bis 3.8. Diese Erklärung beschreibt diese Verarbeitung gemäß EU-Datenschutz-Grundverordnung (DSGVO), österreichischem Datenschutzgesetz (DSG) und Telekommunikationsgesetz (TKG 2021).
1. Verantwortlicher
Laurenz Zuser · E-Mail: [email protected] · ladungsfähige Anschrift und weitere Angaben im Impressum. Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt.
2. Kurzfassung
- Wir setzen keine eigenen Cookies, keine Tracking-Pixel, keine Analyse- oder Werbedienste ein.
- Für die Warteliste erheben wir ausschließlich deine E-Mail-Adresse – kein Name, keine weiteren Pflichtfelder.
- Auf die Liste kommst du nur per Double-Opt-In: erst nach Klick auf den Bestätigungslink in der zugesandten E-Mail.
- Abmelden kannst du dich jederzeit über den Abmeldelink in jeder E-Mail oder formlos per E-Mail an uns.
- Die CortexOne-App funktioniert vollständig ohne Konto; ein Konto ist optional für die Geräte-Synchronisation (3.5).
- KI-Funktionen der App sind optional, laufen nur nach deiner ausdrücklichen, jederzeit widerrufbaren Einwilligung und nur bei aktiver Nutzung; dabei werden Anfragen an Anthropic (USA) übermittelt (Details in 3.6/3.7).
3. Welche Daten, wozu und auf welcher Rechtsgrundlage
3.1 Website-Hosting und Formular-Schnittstelle (Cloudflare Pages)
Diese Website und die Formular-Schnittstelle (Serverless Function) werden bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) als unserem Auftragsverarbeiter gehostet (Cloudflare Pages); der Website-Verkehr läuft dabei über das Cloudflare-Netzwerk (CDN/Proxy). Beim Aufruf der Seite verarbeitet Cloudflare technisch notwendige Zugriffs- und Verbindungsdaten (z. B. IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Datei, Browsertyp, HTTP-Statuscode), um die Seite auszuliefern, Angriffe (z. B. DDoS) abzuwehren und den Betrieb zu sichern. Diese Protokolldaten werden von Cloudflare nur kurzzeitig im Rahmen der Sicherheits- und Betriebsprotokolle vorgehalten; wir selbst führen keine eigenen Server-Logs. Zur Abwehr von Missbrauch verarbeitet unsere Formular-Schnittstelle die IP-Adresse zusätzlich kurzzeitig im Arbeitsspeicher (Ratenbegrenzung); sie wird dabei nicht dauerhaft gespeichert und nicht mit deiner E-Mail-Adresse verknüpft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren, zuverlässigen und performanten Bereitstellung der Website). In der Standardkonfiguration setzt Cloudflare keine Cookies; nur wenn einzelne Schutzfunktionen aktiv sind (z. B. Bot-Abwehr), können technisch erforderliche Cookies wie __cf_bm gesetzt werden – diese dienen ausschließlich der Sicherheit, nicht dem Tracking, und sind nach § 165 Abs. 3 TKG 2021 einwilligungsfrei. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Cloudflare Data Processing Addendum) ist Bestandteil der Nutzung. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die EU-Standardvertragsklauseln. Details: Cloudflare Datenschutzerklärung.
3.2 DNS und E-Mail-Empfang (Cloudflare Email Routing)
Die Domain dieser Website wird über Cloudflare verwaltet (DNS). Für den Empfang von E-Mails an unsere Kontaktadresse [email protected] nutzen wir Cloudflare Email Routing: Eingehende E-Mails werden von Cloudflare entgegengenommen und unmittelbar an ein von uns kontrolliertes Postfach weitergeleitet. Cloudflare verarbeitet dabei die E-Mail (Absenderadresse, Empfängeradresse, Metadaten und Inhalt) ausschließlich zum Zweck der Durchleitung und Spam-/Missbrauchsabwehr und speichert sie nicht dauerhaft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, zuverlässigen E-Mail-Empfang) bzw. Art. 6 Abs. 1 lit. b DSGVO, soweit deine Nachricht der Anbahnung oder Abwicklung eines Vertragsverhältnisses dient. Auch diese Verarbeitung ist vom Auftragsverarbeitungsvertrag mit Cloudflare (siehe 3.1) umfasst.
3.3 Early-Access-Warteliste (Brevo, Double-Opt-In)
Wenn du dich in die Warteliste einträgst, erheben wir ausschließlich deine E-Mail-Adresse. Unsere Website leitet sie über eine eigene, abgesicherte Schnittstelle direkt an unseren E-Mail-Dienstleister weiter; wir speichern sie nicht zusätzlich in eigenen Systemen. Die E-Mails umfassen Updates zum App-Fortschritt, Early-Access-/Beta-Einladungen und gelegentliche MedAT-Lerntipps rund um CortexOne – keine Werbung für fremde Produkte, keine Weitergabe deiner Adresse.
Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Du erhältst zunächst eine Bestätigungs-E-Mail und stehst erst dann auf der Liste, wenn du den Bestätigungslink anklickst. Dabei werden zu Nachweiszwecken Zeitpunkt der Anmeldung und der Bestätigung sowie die dabei verwendete IP-Adresse von Brevo protokolliert. Die Angabe deiner E-Mail-Adresse ist weder gesetzlich noch vertraglich vorgeschrieben – ohne sie ist eine Eintragung in die Warteliste allerdings nicht möglich.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung, § 174 TKG 2021) für den Empfang der genannten E-Mails; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die Protokollierung der Einwilligung als gesetzlicher Nachweis. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO) – über den Abmeldelink in jeder E-Mail oder per Nachricht an uns.
Dienstleister: Der Versand und die Verwaltung der Warteliste erfolgen über Brevo (Brevo GmbH, vormals Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland) als unseren Auftragsverarbeiter mit Servern in der EU. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist Bestandteil der Nutzung. Details: Brevo Datenschutzerklärung.
Kein heimliches Tracking: Wir verzichten auf personenbezogenes Öffnungs-Tracking unserer E-Mails.
3.4 Kontakt per E-Mail
Wenn du uns direkt schreibst (an [email protected]), verarbeiten wir deine E-Mail-Adresse und den Inhalt deiner Nachricht zur Bearbeitung deines Anliegens. Der technische Empfang läuft über Cloudflare Email Routing (siehe 3.2). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und/oder f DSGVO.
3.5 CortexOne-App: Optionales Konto und Synchronisation (Supabase)
Die CortexOne-App funktioniert vollständig ohne Konto: Alle Lerndaten liegen dann ausschließlich lokal auf deinem Gerät. Optional kannst du in der App ein Konto anlegen, um deinen Lernfortschritt zwischen iPhone, iPad und (künftig) dem Web-Portal zu synchronisieren. Dafür verarbeiten wir: deine E-Mail-Adresse (Anmeldung per zugesandtem Einmal-Code, kein Passwort), sowie Lern-Kennzahlen. Alternativ kannst du dich mit Sign in with Apple anmelden: Apple bestätigt dabei deine Identität; wir erhalten von Apple nur die für die Anmeldung nötigen Daten (eine Kennung und — je nach deiner Wahl — deine E-Mail-Adresse oder eine Apple-Weiterleitungsadresse). Für den Anmeldevorgang bei Apple gilt die Datenschutzerklärung von Apple. Zu den Lern-Kennzahlen gehören: Übungs-Sessions und Antworten als Kennzahlen (gewählte Antwortposition, richtig/falsch, Bearbeitungsdauer, Aufgaben-Kennung), Statistik-Zusammenfassungen je Untertest, Wiederholungs-Fälligkeiten, deine Einstellungen (Prüfungsvariante, Prüfungsdatum, Tagesziel, Darstellung) und die von dir angelegte Coach-Merkliste (Kurznotizen, max. 280 Zeichen). Nicht übertragen werden: freie Session-Notizen, handschriftliche Notizfelder, gemeldete Aufgaben und Inhalte außerhalb der genannten Kennzahlen.
Dienstleister: Die Konto- und Sync-Daten werden bei Supabase (Supabase, Inc.) als unserem Auftragsverarbeiter gespeichert — Datenbank-Region EU (Frankfurt, Deutschland). Jede Zeile ist technisch an dein Konto gebunden (Row Level Security); andere Nutzer können deine Daten nicht lesen. Der Versand der Anmelde-Codes erfolgt über Brevo (siehe 3.3). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der von dir aktiv genutzten Konto-/Sync-Funktion). Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist Bestandteil der Nutzung. Bei Löschung deines Kontos werden alle zugehörigen Server-Daten gelöscht; lokal auf deinem Gerät bleiben deine Lerndaten erhalten.
3.6 KI-Funktionen (Anthropic, nur mit Konto, aktiver Nutzung und deiner Einwilligung)
Der Coach-Bereich der App arbeitet standardmäßig regelbasiert auf deinem Gerät. Zusätzlich bietet die App optionale KI-Funktionen. Für sie gilt dreifacher Schutz: Sie stehen nur zur Verfügung, (1) wenn du eingeloggt bist, (2) wenn du auf der KI-Zustimmungsseite in der App ausdrücklich eingewilligt hast (einzeln je Funktionsgruppe, jederzeit widerrufbar), und (3) nur bei aktiver Nutzung: Beim Öffnen des Coach-Bereichs wird einmal täglich dein Briefing abgerufen (zwischengespeichert); alle anderen KI-Funktionen senden erst, wenn du sie ausdrücklich auslöst. Ohne Öffnen des Coach-Bereichs und ohne Auslösen entsteht keine Anfrage — nie im App-Hintergrund.
Die Anfragen laufen über unsere eigene Server-Schnittstelle an Anthropic, PBC (USA), die als unser Auftragsverarbeiter die KI-Antwort erzeugt. Grundsätzlich nie übermittelt werden: dein Name, deine E-Mail-Adresse, freie Session-Notizen, handschriftliche Notizen oder gemeldete Aufgaben. Welche Daten je Funktion reisen:
- KI-Briefing: ein minimaler Kennzahlen-Auszug deines Lernstands (Trefferquoten je Untertest, Übungsumfang, Tagesziel-Stand, Lernserie, Prüfungsvariante, Tage bis zur Prüfung) sowie deine Coach-Merkliste (Kurznotizen). Zweck: eine kurze, auf deinen Lernstand zugeschnittene Einordnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung „KI-Coach & Briefing").
- Chat-Coach: der Text deiner Chat-Nachricht samt einem kurzen Fenster der letzten Nachrichten, derselbe Kennzahlen-Auszug sowie deine Coach-Merkliste (Kurznotizen, inklusive automatisch gemerkter Einträge — diese sind in der App markiert und jederzeit löschbar). Zweck: individuelle Antworten auf deine Fragen zur Lernorganisation. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Bitte schreibe keine sensiblen Angaben in den Chat, die die KI nicht erhalten soll.
- Erklär-Chat zu einer Aufgabe: erst nachdem du eine Aufgabe beantwortet hast, kannst du sie dir von der KI erklären lassen. Dann werden der Aufgabentext, die Antwortoptionen, die in der App hinterlegte Erklärung, die richtige Antwort und deine gewählte Antwort übermittelt — ebenso deine Nachfragen in diesem Erklär-Chat. Zweck: Erklärung des Lösungswegs und deines Fehlerwegs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung „Erklär-Chat & Denk-Hinweise").
- Denk-Hinweise beim Üben: auf deine Anforderung werden der Aufgabentext und die Antwortoptionen — nicht aber die Lösung — übermittelt; die KI gibt einen gestuften Denkanstoß und ist strikt angewiesen, die Lösung nicht zu nennen. Zusätzlich prüft unser Server jede Hinweis-Antwort und verwirft sie, wenn sie die Lösung verraten würde. Zweck: Hilfe zum Selbst-Draufkommen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
- Fehlermuster-Analyse: für die Erstellung ausschließlich aggregierte Lern-Kennzahlen (z. B. Fehlerraten je Untertest und Kategorie, wiederholt falsch beantwortete Themen, Tempo-Signale) — keine Aufgabentexte. Deine Nachfragen zu einem Fehlermuster-Bericht reisen — wie bei allen Berichten — als Text mit. Die Analyse ist eine automatisierte Auswertung deines Lernverhaltens (Profiling ohne rechtliche Wirkung, ausschließlich zu deiner Lernunterstützung); sie findet nur statt, wenn du sie auslöst. Zweck: Muster in deinen Fehlern erkennen und Gegenübungen vorschlagen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
- Berichte (Gesamtstand, Prüfungs-Nachbericht): dieselben Kennzahlen-Aggregate; bei Nachfragen zu einem Bericht reist zusätzlich der Berichtstext als Kontext mit. Berichte werden lokal auf deinem Gerät gespeichert. Zweck: verständliche Zusammenfassung deines Lernstands bzw. einer Prüfungssimulation. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
- Mental-Check-in: Wenn du die tägliche Check-in-Funktion nutzt, übermitteln wir deine Freitext-Angaben zu deinem Befinden, die gewählte Gesprächsvorlage sowie — damit das Gespräch echten Bezug zu dir hat — denselben Kennzahlen-Auszug wie beim Coach (z. B. Trefferquoten, Tagesziel-Stand, Lernserie, Tage bis zur Prüfung), deine Coach-Merkliste (Kurznotizen, z. B. aus dem Kennenlern-Interview) und einen kurzen Rückblick auf deinen letzten Check-in (Vorlage, Datum, deine erste Antwort — damit das Gespräch anknüpfen kann) an Anthropic, damit die KI unterstützend antworten kann. Der Check-in kann dir daraus konkrete Übungs-Vorschläge machen; Änderungen an deinem Lernplan werden nur nach deiner Bestätigung übernommen, und der Check-in legt selbst keine Einträge in deiner Merkliste an. Solche Angaben können — je nachdem, was du schreibst — Rückschlüsse auf deine Gesundheit zulassen (z. B. Stimmung, Stress, Schlaf, Prüfungsangst). Deshalb aktivieren wir diese Funktion nur nach deiner gesonderten, ausdrücklichen Einwilligung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Der Check-in ist keine Therapie, keine Diagnose und kein Ersatz für professionelle Hilfe; in belastenden Situationen verweist die App auf kostenlose Hilfe, z. B. Rat auf Draht (Notruf 147). Du entscheidest selbst, was du schreibst — die Funktion ist freiwillig und jederzeit abschaltbar.
Für alle KI-Funktionen gilt: KI-Antworten sind in der App als solche gekennzeichnet und können Fehler enthalten. Vorschläge zur Änderung deines Lernplans übernimmt die App nur nach deiner Bestätigung. Die Nutzung ist durch technische Tages- und Monatslimits begrenzt (derzeit höchstens 50 KI-Anfragen pro Tag und 600 pro Monat; Bonus-Credits aus dem Empfehlungsprogramm können das Monatskontingent erweitern, siehe 3.8) und kann aus Sicherheits- oder Kostengründen vorübergehend deaktiviert werden; die App bleibt dann ohne KI voll funktionsfähig.
Auftragsverarbeitung, Speicherung und Training: Anthropic verarbeitet die Anfragen als unser Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Anthropic ist vertraglich untersagt, deine Inhalte zum Training seiner KI-Modelle zu verwenden. Anfragen und Antworten werden bei Anthropic nur kurzzeitig gespeichert (nach aktuellem Stand des Anbieters maximal 30 Tage, länger nur in gesetzlich vorgesehenen Ausnahme- und Missbrauchsfällen) und dann gelöscht. Deine Chat-Verläufe speichern wir standardmäßig nur lokal auf deinem Gerät; zur optionalen Synchronisation siehe Abschnitt 3.7.
Übermittlung in die USA: Anthropic verarbeitet die Anfragen in den USA. Anthropic ist derzeit nicht unter dem EU-US Data Privacy Framework zertifiziert; die Übermittlung stützen wir auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), die Bestandteil des Auftragsverarbeitungsvertrags sind, sowie auf ergänzende Maßnahmen (keine Namen/E-Mail-Adressen in Anfragen, Datensparsamkeit je Funktion, kurze Speicherdauer). Ein gewisses Restrisiko behördlicher Zugriffe in den USA lässt sich bei Drittlandübermittlungen nicht vollständig ausschließen — deshalb entscheidest du per Einwilligung selbst, ob du die KI-Funktionen nutzen möchtest.
Widerruf: Du kannst jede Einwilligung jederzeit in den Einstellungen (Profil → KI-Einwilligungen) einzeln widerrufen (Art. 7 Abs. 3 DSGVO). Der Widerruf wirkt ab dem Widerruf; die betroffene Funktion sendet danach keine Anfragen mehr. Details: Anthropic Privacy Policy.
3.7 Synchronisation von Coach-Chats und Erinnerungen (Supabase, EU/Frankfurt, nur mit Einwilligung)
Optional kannst du deine Coach-Chat-Verläufe und die Coach-Erinnerungen (Merkliste, inklusive der als „vom Coach gemerkt" markierten Einträge) zwischen deinen Geräten (iPhone/iPad) synchronisieren. Dafür speichern wir diese Inhalte auf unseren Servern bei Supabase (Supabase, Inc.) als unserem Auftragsverarbeiter — Datenbank-Region EU (Frankfurt, Deutschland). Jede Zeile ist technisch an dein Konto gebunden (Row Level Security); andere Nutzer können deine Inhalte nicht lesen. Wir verwenden die gespeicherten Inhalte ausschließlich zur Bereitstellung der Synchronisation.
Die Synchronisation läuft nur mit deiner gesonderten Einwilligung auf der KI-Zustimmungsseite (Art. 6 Abs. 1 lit. a DSGVO). Wenn du den Mental-Check-in nutzt, können die synchronisierten Chats auch deine Check-in-Gespräche und damit gesundheitsbezogene Angaben enthalten — dies ist von deiner ausdrücklichen Check-in-Einwilligung mit umfasst (Art. 9 Abs. 2 lit. a DSGVO) und wird auf der Zustimmungsseite klar gesagt. Ohne Chat-Sync-Einwilligung bleiben alle Chat-Verläufe ausschließlich lokal auf deinem Gerät.
Speicherdauer und Löschung: Gelöschte Chats und Erinnerungen werden auch auf dem Server gelöscht (Löschungen wandern auf deine anderen Geräte mit). Widerrufst du die Sync-Einwilligung, beendet die App die Synchronisation sofort und veranlasst die Löschung der auf dem Server gespeicherten Chat- und Erinnerungs-Kopien (bei Verbindungsproblemen wird die Löschung automatisch nachgeholt). Bei Löschung deines Kontos werden sämtliche zugehörigen Serverdaten gelöscht. Aus technischen Sicherungskopien (Backups) werden gelöschte Daten spätestens nach 30 Tagen entfernt. Die lokalen Daten auf deinem Gerät bleiben in deiner Hand.
3.8 Empfehlungsprogramm und KI-Credits
Wenn du das optionale Empfehlungsprogramm nutzt, erzeugen wir für dein Konto einen zufälligen Empfehlungscode. Löst eine andere Person deinen Code ein, speichern wir die Zuordnung der beiden Konten (wer hat wen geworben, Zeitpunkt, verwendeter Code) sowie den daraus entstehenden KI-Credits-Stand beider Konten. Das Teilen deines Codes übernimmst ausschließlich du selbst — die App verschickt keine Nachrichten an Dritte und erhebt keine Kontaktdaten deiner Freunde. Zweck: Gutschrift und Missbrauchskontrolle der Empfehlungs-Boni (z. B. Einlöse-Deckel). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des von dir in Anspruch genommenen Programms). Speicherdauer: bis zur Löschung deines Kontos.
3.9 Anonyme Aufgaben-Meldungen („Aufgabe melden“)
In der App kannst du fragwürdige Übungsaufgaben mit einem Fingertipp melden (z. B. „Antwort strittig“). Diese Meldungen werden anonym an unsere Datenbank (Supabase, EU/Frankfurt, siehe 3.5) übermittelt — gespeichert werden ausschließlich die Aufgaben-Kennung, der Testteil, der gewählte Meldegrund, die App-Version und eine zufällige technische Kennzahl zur Duplikat-Vermeidung. Es werden dabei keine Konto-, Geräte- oder Kontaktdaten und keine IP-Adressen gespeichert; die Meldung ist von uns keiner Person zuordenbar — auch dann nicht, wenn du ein Konto hast. Der Hinweis darauf steht direkt im Melde-Dialog. Zweck: Qualitätssicherung der Übungsinhalte (häufig gemeldete Aufgaben werden fachlich geprüft). Rechtsgrundlage: soweit überhaupt personenbezogene Daten anfallen (etwa kurzzeitig die IP-Adresse bei der technischen Übermittlung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekten Lerninhalten); die gespeicherten Meldungen selbst sind anonym. Speicherdauer: bis zur Erledigung der fachlichen Prüfung.
4. Was wir nicht tun
Keine Werbung, keine Werbe-IDs, kein seitenübergreifendes Tracking, kein Profiling zu Werbe- oder Bewertungszwecken (die optionale, einwilligungsbasierte Fehlermuster-Analyse deiner Lerndaten ist in 3.6 beschrieben), kein Verkauf und keine Weitergabe personenbezogener Daten zu Werbezwecken, keine automatisierten Einzelentscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO). Diese Website setzt keine eigenen Cookies; ein Cookie-Banner ist daher nicht erforderlich (§ 165 Abs. 3 TKG 2021 erfasst ohnehin nur technisch nicht notwendige Speicherzugriffe).
5. Empfänger / Auftragsverarbeiter
Cloudflare, Inc. (Website-Hosting, Formular-Schnittstelle, DNS/Netzwerk und E-Mail-Empfang/Weiterleitung) und Brevo GmbH (Wartelisten-/E-Mail-Verwaltung, Versand und Anmelde-Codes der App) als Auftragsverarbeiter. Für die CortexOne-App kommen als Auftragsverarbeiter hinzu: Supabase, Inc. (Konto, Lerndaten-Synchronisation sowie — nur mit Einwilligung — Coach-Chats und Erinnerungen; Datenbank-Region EU/Frankfurt) und Anthropic, PBC (Erzeugung der KI-Antworten; je nach Funktion Kennzahlen, Chat-Texte, Aufgabeninhalte und Check-in-Freitext; Verarbeitung in den USA, siehe §6). Bei Anmeldung mit Sign in with Apple ist Apple für den Anmeldevorgang eigenständiger Verantwortlicher. Weitere Empfänger personenbezogener Daten gibt es nicht.
6. Drittlandübermittlung
Brevo verarbeitet die Wartelisten-Daten auf Servern in der EU. Cloudflare kann Zugriffs-, Verbindungs- und durchgeleitete E-Mail-Daten auch außerhalb der EU/des EWR, insbesondere in den USA, verarbeiten – abgesichert durch das EU-US Data Privacy Framework und/oder die EU-Standardvertragsklauseln.
Anthropic, PBC verarbeitet die KI-Anfragen aus der CortexOne-App in den USA. Anthropic ist derzeit nicht unter dem EU-US Data Privacy Framework zertifiziert; die Übermittlung stützen wir auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) im Rahmen des Auftragsverarbeitungsvertrags sowie auf ergänzende Maßnahmen (keine Namen oder E-Mail-Adressen in den Anfragen, Datensparsamkeit je Funktion, kurze Speicherdauer, vertragliches Trainingsverbot). Je nach genutzter Funktion können dabei auch von dir eingegebene Freitexte (Chat-Nachrichten, Check-in-Angaben) und Aufgabeninhalte übermittelt werden — KI-Funktionen laufen deshalb nur mit deiner Einwilligung (3.6).
Supabase, Inc. ist ein US-Unternehmen; die Datenbank für Konto- und Sync-Daten liegt in der EU (Frankfurt). Für etwaige Support-Zugriffe aus Drittländern gelten die EU-Standardvertragsklauseln im Rahmen des Auftragsverarbeitungsvertrags.
7. Speicherdauer
- Warteliste: bis zu deinem Widerruf. Unbestätigte Anmeldungen (ohne Double-Opt-In-Klick) werden nicht in die Verteilerliste aufgenommen; die zugehörigen Anfrage-Daten verbleiben nur vorübergehend beim Dienstleister. Erfolgt über längere Zeit keine Interaktion mehr, löschen wir Einträge spätestens 3 Jahre nach dem letzten Kontakt.
- Einwilligungsnachweise: solange sie zur Erfüllung rechtlicher Nachweispflichten erforderlich sind.
- Server-/Verbindungsprotokolle: nur für die von Cloudflare vorgesehene kurze Dauer im Rahmen der Sicherheits- und Betriebsprotokolle; wir führen keine eigenen Logs.
- E-Mail-Korrespondenz: in der Regel bis zu 12 Monate nach Abschluss des Anliegens, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
- Konto-/Sync-Daten (App): bis zur Löschung deines Kontos; einzelne Inhalte (z. B. Chats, Erinnerungen) zusätzlich jederzeit einzeln löschbar. Aus technischen Sicherungskopien werden gelöschte Daten spätestens nach 30 Tagen entfernt.
- Synchronisierte Coach-Chats und Erinnerungen: bis zu deiner Löschung, deinem Widerruf der Sync-Einwilligung oder der Kontolöschung.
- KI-Anfragen bei Anthropic: kurzzeitige Speicherung beim Anbieter (nach aktuellem Stand maximal 30 Tage; länger nur in gesetzlich vorgesehenen Ausnahme- und Missbrauchsfällen), danach Löschung; kein Training mit deinen Inhalten.
- Empfehlungsprogramm (3.8): Code, Einlöse-Zuordnung und Credits-Stand bis zur Löschung deines Kontos.
8. Deine Rechte
Du hast das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21). Erteilte Einwilligungen kannst du jederzeit widerrufen. Kontakt: [email protected].
Außerdem hast du das Recht auf Beschwerde bei einer Aufsichtsbehörde – in Österreich:
9. Minderjährige
Die Warteliste richtet sich an Personen ab 14 Jahren (Alter der digitalen Einwilligung in Österreich, § 4 Abs. 4 DSG). Auch die KI-Funktionen der App setzen ein Mindestalter von 14 Jahren voraus; das bestätigst du auf der KI-Zustimmungsseite. Wir verarbeiten wissentlich keine Daten jüngerer Personen; entsprechende Einträge löschen wir nach Kenntnis.
10. Änderungen
Wir passen diese Erklärung an, wenn sich die Website, unsere Dienste oder die Rechtslage ändern – insbesondere vor dem Start der App und etwaiger Beta-Programme. Die jeweils gültige Fassung mit Datum ist stets hier abrufbar.
11. Kontakt
Fragen zum Datenschutz? Schreib uns an [email protected].